Hintergrund für diese Entwicklung war ein kürzlich aufgetretener Ransomware-Fall, den wir mit Velociraptor untersucht haben. Während der Untersuchung des Vorfalls wurde eine Überwachung auf bekannte IOCs gefordert, um vor möglichen zweiten Angriffswellen oder verbleibender Malware und Backdoors in der Umgebung zu warnen. Aufgrund der besonderen Umstände konnte man sich nicht auf die Überwachung durch zentrale Netzwerkkomponenten, wie z.B. eine Firewall, verlassen - eine andere Lösung musste her. Da Velociraptor bereits im Einsatz war, bot sich eine gute Möglichkeit, es für diese Aufgabe zu nutzen. Während der Implementierung stellten wir fest, dass Velociraptor keine vorgefertigte Überwachung der Netzwerkkommunikation auf den Clients hat.
Im englischsprachigen Blogpost legen wir unsere Gedanken zum Erstellungsprozess der neuen Artefakte dar und teilen unsere Ergebnisse mit der DFIR-Community.
Dieser Blogpost wurde von Herbert Bärschneider geschrieben und im Auftrag von SEC Defence veröffentlicht.